Auditoria Inteligente

Resultados, no procesos

Invítame a un café en Ko-fi!

Sinergia organizacional usando COSO y las Tres Líneas

Sinergia organizacional usando COSO y las Tres Líneas

De la teoría a la práctica: el desafío de la implementación

En nuestro artículo anterior, exploramos el alto costo de la desconexión organizacional. Hablábamos de la “fatiga de auditoría”, de los puntos ciegos críticos que se generan cuando los departamentos trabajan en silos, y de cómo la Norma 9.5 de las nuevas Normas Globales de Auditoría Interna (NOGAI) nos exige un cambio de paradigma hacia el aseguramiento integrado. El diagnóstico es claro y el mandato normativo innegable. Pero la pregunta que a menudo resuena en la mente de los Directores de Auditoría (CAEs) y los líderes ejecutivos es la misma: "¿Cómo lo hacemos exactamente?"

La respuesta no es crear más burocracia, sino entrelazar de forma inteligente los marcos de trabajo que probablemente su organización ya utilice. La verdadera magia del Aseguramiento Integrado se da cuando logramos que la estrategia de gestión de riesgos (impulsada por COSO ERM) fluya sin fricciones a través de la estructura operativa y de supervisión (Modelo de las Tres Líneas del IIA).

Veamos cómo esta poderosa combinación se convierte en el motor de un gobierno corporativo eficiente y cohesionado.

COSO ERM: El idioma común del riesgo y el desempeño

El obstáculo mayor para el aseguramiento integrado suele ser lingüístico. Si Auditoría Interna mide impacto financiero en una escala de 1 a 5, Cumplimiento clasifica brechas por colores y la gerencia opera sin métricas formales, resulta difícil consolidar un reporte para la Junta Directiva. ​Es como intentar dirigir una orquesta donde cada músico tiene una partitura diferente.

Es aquí donde el marco de COSO sobre Gestión de Riesgos Empresariales (COSO ERM – Integrando Estrategia y Desempeño) se vuelve indispensable. COSO no es solo una lista de verificación de controles, es una filosofía que exige alinear el riesgo directamente con la estrategia del negocio.

Para lograr el aseguramiento integrado, COSO proporciona el "idioma común". Esto se materializa a través de:

  • Una taxonomía de riesgos unificada: Un glosario común que explique con claridad qué se considera un “riesgo cibernético crítico” y qué un “moderado”.
  • El apetito de riesgo pactado: Definir con claridad el nivel de riesgo que el Consejo Directivo está dispuesto a asumir para alcanzar sus objetivos y las intenciones asociadas. Este umbral común debe servir como base para las evaluaciones en todas las líneas de la organización.

Si la base, la cultura y la gobernanza de COSO son sólidas y compartidas, los resultados de cualquier evaluación, independientemente de quién la realice, pueden ser consolidados y comparados de manera objetiva.

El modelo de las tres líneas: Arquitectura de la sinergia

Versión ilustrada del modelo de las 3 líneas del IIA
Versión ilustrada del modelo de las 3 líneas del IIA (Gemini/Auditoría Inteligente)

Cuando hablemos el mismo idioma, tenemos que definir bien quién hace qué para no darnos con la pata. En 2020, el IIA actualizó su modelo tradicional de “líneas de defensa” para crear el Modelo de las Tres Líneas, un enfoque mucho más proactivo y colaborativo que se adapta perfectamente a las exigencias de la Norma 9.5.

Repasemos cómo cada línea contribuye al ecosistema y cómo deben interactuar para generar valor:

1. Roles de la Primera Línea (Gestión Operativa):

Son dueños del riesgo. Los gerentes de ventas, producción o tecnología no son “auditados” pasivos; son los arquitectos de sus propios controles. En un entorno integrado, la primera línea usa las directrices de COSO para autoevaluarse sobre sus riesgos diarios. Es su responsabilidad dar cuenta de estas autoevaluaciones de forma transparente a la Alta Dirección y las líneas de supervisión.

2. Roles de la Segunda Línea (Soporte, Gestión de Riesgos y Cumplimiento):

Encontramos aquí a los expertos en la materia (SMEs): Oficial de Cumplimiento, Gestor de Riesgos, equipo de Seguridad de la Información. Su trabajo no es operar el negocio, sino proveer marcos, políticas y supervisión continua para ayudar a la primera línea a estar dentro del apetito de riesgo. En un modelo clásico, esta línea es la primera que audita, lo que genera fricciones. En un diseño integrado, la segunda línea consolida la información operativa, diseña matrices de riesgo y monitorea indicadores de desempeño, volviéndose así una fuente de “aseguramiento de gestión”.

3. Roles de la Tercera Línea (Auditoría Interna):

El aseguramiento independiente y objetivo. Con la Norma 9.5, la tercera línea no parte de cero en su trabajo. El CAE mide la madurez de la primera y segunda línea. Si el trabajo de Cumplimiento o de Gestión de Riesgos es metodológicamente robusto (basado en el marco común de COSO), Auditoría Interna puede aplicar el principio de “Reliance” (Confianza) y respaldarse en esos resultados.

El Plan de Acción Estratégico: Ejecutando la integración

Conocer los marcos es una cosa, ponerlos a trabajar juntos es otra. Si usted es un líder que está buscando la manera de poner en marcha esta visión, le ofrezco un plan táctico en cuatro pasos:

  • Paso 1: El Comité de Aseguramiento Conjunto. El CAE, el CRO (Chief Risk Officer) y el CCO (Chief Compliance Officer) deben crear un comité permanente. Esta mesa de trabajo no tiene como fin intercambiar anécdotas, sino mapear exhaustivamente el universo de auditoría y supervisión. Es donde se deja fuera el ego y prima la eficiencia.
  • Paso 2: Evaluación Conjunta de Riesgos. En vez de que Auditoría envíe un cuestionario en enero y Cumplimiento envíe otro en marzo a los mismos gerentes operativos, se hace un esfuerzo conjunto. Con la taxonomía unificada de COSO, todas las funciones de assurance trabajan conjuntamente para identificar los riesgos de la organización de manera única y completa.
  • Paso 3: Construcción del Mapa de Aseguramiento. Con los riesgos valorados, se elabora un mapa matricial. En el eje vertical se introducen los riesgos estratégicos más importantes de la compañía. En el eje horizontal, los proveedores de aseguramiento (Primera, Segunda, Tercera Línea y Auditores Externos). Al cruzar los datos, la Alta Dirección puede ver visualmente quién está brindando cobertura sobre qué riesgo, identificando superposiciones (zonas donde se deben reducir esfuerzos) y vacíos (zonas donde Auditoría Interna debe enfocar sus cañones).
  • Paso 4: Metodología de "confianza" documentada. La Auditoría Interna no puede confiar ciegamente. Tiene que haber un protocolo claro, basado en las NOGAI, para valorar la objetividad, la competencia, la diligencia debida de la segunda línea antes de apoyarte en su trabajo. Si Calidad hace pruebas sólidas sobre procesos de manufactura, Auditoría documenta esta solidez y sólo revisa la gobernanza del área de Calidad, no vuelve a evaluar la planta de producción.

Un ejemplo real: El desafío de la ciberseguridad

Imaginemos el riesgo de una vulneración de datos. En un modelo fragmentado:

  • TI (1ra Línea) implementa firewalls y se supone que está seguro.
  • Seguridad de la Información (2da Línea) realiza pruebas de penetración y guarda los resultados en un reporte técnico que solo ellos entienden.
  • Auditoría Interna (3ra Línea) contrata a un consultor externo seis meses más tarde para auditar la ciberseguridad, gastando parte de su presupuesto anual para encontrar los mismos problemas que TI ya conocía.

En un modelo de aseguramiento integrado utilizando COSO y las Tres Líneas:

  • Todos coinciden en que la fuga de datos sobrepasa el apetito de riesgo de la empresa (COSO).
  • TI (1ra línea) da cuenta de controles diarios en una plataforma común.
  • Los controles son validados de forma continua por Seguridad de la Información (2da línea) y esta reporta los indicadores clave de riesgo (KRIs).
  • Auditoría Interna (3ra Línea) evalúa el marco de supervisión de la 2da línea y se basa en sus resultados técnicos para emitir una opinión consolidada a la Junta Directiva sobre la postura de ciberseguridad corporativa. Se ahorra dinero, tiempo operativo y los reportes son ágiles y oportunos.

El puente hacia el aseguramiento continuo

Engranaje Estrategia Riesgo Aseguramiento 1
La estrategia va de la mano con el riesgo y el aseguramiento (Gemini/Auditoría Inteligente)

El Modelo de las Tres Líneas de COSO ERM proporciona la maquinaria necesaria para que el Aseguramiento Integrado funcione. Disminuye la fricción política interna, define reglas de juego claras y lo más importante, transforma un laberinto de controles en un flujo de información valiosa que protege y crea valor para la organización.

Sin embargo, hay un factor que todavía no hemos considerado. Para que esta maquinaria de procesos y personas funcione a la velocidad de los negocios modernos, no podemos depender de hojas de cálculo aisladas, reportes manuales en PDF. La integración tecnológica es una necesidad de la integración metodológica.

En el tercer y último artículo de esta serie, daremos el salto hacia el futuro. Veremos cómo la inteligencia artificial, la analítica avanzada de datos y las plataformas GRC (Gobernanza, Riesgo & Cumplimiento) son el combustible definitivo para un monitoreo continuo y un “storytelling” digital capaz de cautivar a cualquier junta directiva. ¿Estamos listos para auditar a velocidad del riesgo? Vengan conmigo en la próxima entrega y lo descubriremos.

Redactado por:

Christian Vargas

Christian fundó Auditoría Inteligente para compartir sus conocimientos y experiencias sobre la transformación y mejora de procesos de aseguramiento en toda Latinoamérica.

Categorías: ,